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International Application No 

PCT/DE 98/00633 



A CLASSIFICATION OF SUBJECT MATTER 

IPC 6 G05B19/042 



According to International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Mlnimumdocumentatton searched (classification system followed by classification symbols) 

IPC 6 G05B 



Documentation searched other than minimum documentation to the extent that such documents are included in the fields 



searched 



Electronic data base consulted during the international search (name of data base and, where practical, search terms used) 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category 



Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to claim No. 



EP 0 424 869 A (KOMATSU MFG CO LTD 
;YAMATAKE HONEYWELL CO LTD (JP)) 2 May 
1991 

see column 3, line 22 - column 5, line 16: 
figures 1-7 

EP 0 352 759 B (BAYERISCHE M0TOREN WERKE 
AG) 17 January 1996 

see column 4, line 40 - column 9, line 31; 
figures 1,2 

-/— 



1-3,9 



1,2,9 



I X| Furtn «r documents are listed in the continuation of box C. 
° Special categories of cited documents : 



Patent family members are listed In annex. 



"A" document defining the general state of the art which is not 
considered to be of particular relevance 

"E" earlier document but published on or after the international 
filing date 

IT document which may throw doubts on priority claim(s) or 
which is cited to establish the publication date of another 
citation or other special reason (as specified) 

"O" document referring to an oral disclosure, use, exhibition or 
other means 

*P n document published prior to the international filing date but 
later than the priority date claimed 



T" later document published after the international filing date 
or priority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 
invention 

"X" document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document is taken alone 

"Y" document of particular relevance; the claimed invention 

cannot be considered to involve an inventive step when the 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person skilled 
in the art. 

"&." document member of the same patent family 



Date of the actual completion of the international search 



17 August 1998 



Date of mailing of the international search report 

21/08/1998 



Name and mailing address of the ISA 

European Patent Office, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Authorized officer 



Tran-Tien, T 



Foim PCT/ISA/210 (second sheot) (July 1992) 
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C(Contlnuatlon) DOCUMENTS CONSIDERED TO BE RELEVANT 

Citation of document, with Indication, where appropriate, of the relevant passages" 



International Application No 

PCT/DE 98/00633 



Category 4 



BURCH J R ET AL: "SYMBOLIC MODEL CHECKING 
FOR SEQUENTIAL CIRCUIT VERIFICATION" 
1 April 1994 , IEEE TRANSACTIONS ON 
COMPUTER AIDED DESIGN OF INTEGRATED 
CIRCUITS AND SYSTEMS, VOL. 13, NR 4 
PAGE(S) 401 - 424 XP000453301 ' ' 
cited in the application 
see the whole document 

ENDERS R ET AL: "GENERATING BDDS FOR 
SYMBOLIC MODEL CHECKING IN CCS" 
1 January 1991 , COMPUTER AIDED 
VERIFICATION 3RD. AALBORG, DENMARK , JULY 
1-4 1991, PAGE(S) 203 - 213 XP000350630 
see the whole document 

EP 0 580 663 B (SIEMENS AG) 4 January 1995 
see column 2, line 48 - column 11, line 
25; figure 1 



I Relevant to claim No. 



1-11 



1-7 



EP 0 685 792 A (AT & T 
1995 

see abstract 



CORP) 6 December 



1,4,6 



1,4 
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Information on patent family members 



Patent document 
cited in search report 



Publication 
dat 



Intei national Application Mo 

PCT/DE 98/00633 



Patent family 
member(s) 



Publication 
date 



EP 0424869 



02-05-1991 



EP 0352759 B 



31-01-1990 



EP 0580663 B 



EP 0685792 A 



02-02-1994 



06-12-1995 



JP 
JP 
JP 



2110034 C 
3137518 A 
8020284 B 



DE 
DE 
EP 
ES 
JP 
JP 
US 



3825280 
58909572 
0352759 
2081819 
2105201 
2769363 B 
5107425 A 



0E 
W0 
EP 
US 



59201155 D 
9218944 A 
0580663 A 
5491639 A 



CA 
JP 
US 



2147536 A 
7334566 A 
5615137 A 



21-11-1996 
12-06-1991 
04-03-1996 



01-02-1990 
29-02-1996 
31-01-1990 

16- 03-1996 

17- 04-1990 
25-06-1998 
21-04-1992 



16-02-1995 
29-10-1992 
02-02-1994 
13-02-1996 



02-12-1995 
22-12-1995 
25-03-1997 



Form PCT/ISA/210 (patent lamify annex) (July 1992) 
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VE^tAG UBER DIE INTERNATIONAlTZUSAMM EN ARBEIT 
AUF DEM GEBIET DES PATENTWESENS 

PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 

GR 97 P 1301 P 



WEITERES siehe Mittetlung uber die Obermittlung des internationaien 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 



Internationales Aktenzeichen 



PCT/DE 98/00633 



Internationales Anmeldedatum 
(T ag/Monat/Jahr) 

03/03/1998 



(Friihestes) Prioritatsdatum (Tag/Monat/Jahr) 

11/03/1997 



Anmeider 



SIEMENS AKTIENGESELLSCHAFT et al 



Dieser international Recherchenbericht wurde von der Internationaien Recherchenbehdrde erstellt und wird dem Anmeider gemaB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationaien Buro ubermittelt. 

Dieser internationale Recherchenbericht umfaGt insgesamt _3 Blatter. 

fxl Daruber hinaus Negt ihm jeweils eine Kopie der in diesem Bericht genannten Unteriagen zum Stand der Technik bei. 



1 CH Bestimm t e Anspriiche haben sich als nichtrecherchierbar erwiesen (siehe Feld I). 

2. Q Mangelnde Einheitlichkeit der Erfindung<siehe Feld II). 

3. Q In der internationaien Anmeldung ist ein ProtokoM einer Nucleotid- und/oder Aminosauresequenz offenbart; die internationale 

Recherche wurde auf der Grundlage des Sequenzprotokolts durchgefuhrt, 

*&. CH das zusammen mit der internationaien Anmeldung eingereicht wurde. 

I I das vom Anmeider getrennt von der internationaien Anmeldung vorgelegt wurde, 

I I dem jedoch keine Erklarung beigefugt war, dafc der Inhalt des Protokolls nicht uber den 

Offenbarungsgehalt der internationaien Anmeldung in der eingereichten Fassung hinausgeht. 

I I das von der Internationaien Recherchenbehorde in die ordnungsgemaRe Form iibertragen wurde. 

4. Hinsichtiich der Bezeichnung der Erfindung 

fxl wird der vom Anmeider eingereichte Wortlaut genehmigt. 
I I wurde der Wortlaut von der Behorde wie folgt festgesetzt. 



Hinsichtfich der Zusammenfassung 

wird der vom Anmeider eingereichte Wortlaut genehmigt. 



□ 



wurde der Wortlaut nach Regel 38.2b) in der Feld III angegebenen Fassung von dieser Behorde 
festgesetzt. Der Anmeider kann der Internationaien Recherchenbehorde innerhalb eines Monats nach 
dem Datum der Absendung dieses internationaien Recherchenberichts eine Stellungnahme vorlegen. 



6. Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu veroffentlichen: 

Abb. Nr. 1 | | wie vom Anmeider vorgeschlagen 

fxl w ©f der Anmeider selbst keine Abbildung vorgeschlagen hat. 
I | weil diese Abbildung die Erfindung besser kennzeichnet. 



| | keine der Abb. 



Formbiau PCT/ISA/210 (Blatt 1) (Juli 1992) 
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INTERNATJONALER RECHERCHENBERICHT 



Internationales Aktenzelchen 

PCT/DE 98/00633 



A. KLASSIFIZIERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 6 G05B19/042 



Nach der Internattonalen Patent Massif ikatlon (IPK) Oder nach der natronalen Klassifikation und der IPK 



B. RECHERCHIERTE GEBIETE 



Recherchierter Mlndestprufstoff (Klassifikationssystem und Klassifikationssymbole ) 

IPK 6 G05B 



Recherchierte aber nicht zum Mindestprtifstoffgehdrende VerSffentlichungen, soweit dieseunter die recherchierte n Gebiete fallen 



Wahrend der internationalen Recherche konsuitierteelektronische Datenbank (Name der Datenbank und evtl. verwendete Suchbegrifte) 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie* Bezeichnung der Veroffentlichung, soweit erfordertich unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



EP 0 424 869 A (KOMATSU MFG CO LTD 

; YAMATAKE HONEYWELL CO LTD (JP)) 2. Mai 

1991 

siehe Spalte 3, Zeile 22 - Spalte 5, Zelle 
16; Abbildungen 1-7 

EP 0 352 759 B (BAYERISCHE MOTOREN WERKE 
AG) 17. Januar 1996 

siehe Spalte 4, Zeile 40 - Spalte 9, Zeile 
31; Abbildungen 1,2 

-/-- 



1-3,9 



1,2,9 



Weitere Veroffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



Siehe Anhang Patentfamilie 



* Besondere Kategorien von angegebenen VerGffentlichungen 
"A" Veroffentlichung, die den allgemeinen Stand der Technik definiert, 
aber nicht als besonders bedeutsam anzusehen ist 

E" alteres Dokument, das jedoch erst am Oder nach dem internationalen 
Anmeldedatum veroffentlicht worden ist 

L M Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, Oder durch die das Veroffentlichungsdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soil oder die aus einem anderen be sonde re n Grund angegeben ist (wie 
ausgefiihrt) 

CT Veroffentlichung, die sich auf eine mundliche Offenbarung, 

eine Benutzung, eine Aussteiiung Oder andere MaGnahmen bezieht 

P" Veroffentlichung, die vor dem internationalen Anmeldedatum, aber nach 
dem beanspruchten Prioritatsdatum verdffentlicht worden ist 



T* Spatere Veroffentlichung, die nach dem internationalen Anmeldedatum 
oder dem Prioritatsdatum verdffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sohdern nur zum Verstandnis des der 
Erf indung zugrundeliegenden Prinzips Oder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erf indung 
kann allein aufgrund dieser Ver6ffentlichung nicht als neu Oder auf 
erfrnderischer Tatigkeit beruhend betrachtet werden 

"Y" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erf inderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Verdffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Facnmann naheliegend ist 

n & u Veroffentlichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschlusses der internationalen Recherche 



17. August 1998 



Absendedatum des internationalen Recherchenberichts 



21/08/1998 



Name und Postanschrift der Internationalen Recherchen be horde 
Europaisches Patentamt, P.B. 5816 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Bevollmachtigter Bediensteter 



Tran-Tien, T 



FoimbiiiH PCT^SA/210 (Blan 2) (Jull 1992) 
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INTERNATIfiNALER RECHERCHENBERICHT 



Internationales Aktenzeichen 

PCT/DE 98/00633 



C.(Fortsetzung) ALS WESENTLICH ANGESEHENE UNTERLAGEN 



KategonV Bezeichnung der Verdffentlichung, soweit erforderlich unter Angabe dor in Betracht kommenden Toilo 



Betr. Anspruch Nr. 



BURCH J R ET AL: "SYMBOLIC MODEL CHECKING 
FOR SEQUENTIAL CIRCUIT VERIFICATION" 
1. April 1994 , IEEE TRANSACTIONS ON 
COMPUTER AIDED DESIGN OF INTEGRATED 
CIRCUITS AND SYSTEMS, VOL. 13, NR. 4, 
PAGE(S) 401 - 424 XP000453301 
in der Anmeldung erwahnt 
slehe das ganze Dokument 

ENDERS R ET AL: "GENERATING BDDS FOR 
SYMBOLIC MODEL CHECKING IN CCS" 
1. Januar 1991 , COMPUTER AIDED 
VERIFICATION 3RD. AALBORG, DENMARK, JULY 
1-4, 1991, PAGE(S) 203 - 213 XP000350630 
slehe das ganze Dokument 

EP 0 580 663 B (SIEMENS AG) 4. Januar 1995 
siehe Spalte 2, Zeile 48 - Spalte 11, 
Zeile 25; Abbildung 1 

EP 0 685 792 A (AT & T CORP) 6. Dezember 
1995 

siehe Zusammenfassung 



1-11 



1-7 



1,4,6 



1,4 



Footic,^ -T/tSA/21 0 (Fortsetzurtg von Blatt 2) (Jul! 1 992) 
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INTERNATI 

Angaben zu VeroJ 



LER RECHERCHENBERICHT 

ungen, die zur selben Patentfamilie gehdren 



Internationales Aktenzeichen 

PCT/DE 98/00633 



Im Recherchenbericht 


Datum der 




Mitglied(er) der 




Datum der 


angefiihrtes Patentdokument 


VerOffentlichung 




Patentfamilie 




VerOffentlichung 


EP 0424869 A 


02-05-1991 


JP 


2110034 


c 


21-11-1996 






JP 


3137518 


A 


12-06-1991 






JP 


8020284 


B 


04-03-1996 


EP 0352759 B 


31-01-1990 


DE 


3825280 


A 


01-02-1990 






DE 


58909572 


D 


29-02-1996 






EP 


0352759 


A 


31-01-1990 






ES 


2081819 


T 


16-03-1996 






JP 


2105201 


A 


17-04-1990 






JP 


2769363 


B 


25-06-1998 






US 


5107425 


A 


21-04-1992 


tr 0580663 B 


02-02-1994 


DE 


59201155 


0 


16-02-1995 






M0 


9218944 


A 


29-10-1992 






EP 


0580663 


A 


02-02-1994 






US 


5491639 


A 


13-02-1996 


EP 0685792 A 


06-12-1995 


CA 


2147536 


A 


02-12-1995 






JP 


7334566 


A 


22-12-1995 






US 


5615137 


A 


25-03-1997 



Foimblart PCT/ISA/21 0 (Anhang Patentfamaie)(Juli 1992)' 



TVttS 



0 09/367778 
514 Rec'd PCT/PTO 1 8 AUG 1999 



Siemens AG 
New PCT application 
Our Case P-99,0101 
GR97 P 1301 P US 
Inventor: Liggesmeyer 
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v Arag uber die internation Jfc zusammenarbeit 

AUF DEM GEBIET DES PATENTWESENS 



5nder: INTERNATIONALE RECHERCHENBEHORDE 




Abs 

SIEMENS AG 
Postfach 22 16 34 
D-80506 Munchen 
GERMANY 



ZT GG V:' A kich M 



Eing. 

GR 
Frist 



2 k AUG. 1993 



PCT 



MITTEILUNG UBER DIE UBERMITTLUNG DES 
INTERNATIONALEN RECHERCHENBERICHTS 
ODER DER ERKLARUNG 

(Regel 44.1 PCT) 



Absendedatum 
(T ag/Monat/Jahr) 



21/08/1998 



Aktenzeichen des Anmelders Oder Anwalts 

GR 97 P 1301 P 



WEITERES VORGEHEN 



siehe Punkt 1 und 4 unten 



Internationales Aktenzeichen 

PCT/DE 98/00633 



Internationales Anmeldedatum 

(T ag/Monat/Jahr) jq^ / 1 998 



Anmelder 



SIEMENS AKTIENGESELLSCHAFT et al . 



1 ■ [Xl Dem Anmelder wird mitgeteiit, daB der international Recherchenbericht erstellt wurde und ihm hiermit ubermittelt wird. 
Einreichung von Anderungen und einer Erklarung nach Artikel 19: 

Der Anmelder kann auf eigenen Wunsch die Anspriiche der internationalen Anmeldung andern (siehe Regel 46): 

Bis wann sind Anderungen einzureichen? 

Die Frist zur Einreichung solcher Anderungen betragt iiblicherweise zwei Monate ab der Ubermittlung des 
internationalen Recherchenberichts; weitere Einzelheiten sind den Anmerkungen auf dem Beiblatt zu entnehmen. 

Wo sind die Anderungen einzureichen? 

Unmittelbar beim Internationalen Buro der WIPO, 34, CHEMIN des Colombettes, CH-1 21 1 Gent 20 
Telefaxnr.: (41-22) 740.14.35 

Nahere Hinweise sind den Anmerkungen auf dem Beibiatt zu entnehmen. 

2. Q Dem Anmelder wird mitgeteiit, daB kein internationaler Recherchenbericht erstellt wird und daB ihm hiermit die Erklarung nach 
Artikel 17(2)a) ubermittelt wird. 



3. 



□ 



Hinsichtlich des Widerspruchsgegen die Entrichtung einer zusatzlichen Gebuhr (zusatzlicher Gebuhren) nach Regel 40 2 wird 
dem Anmelder mitgeteiit, daB 

| | d © r Widerspruch und die Entscheidung hierCiber zusammen mit seinem Antrag auf Ubermittlung des WortJauts sowohl des 
— Widerspruchs als auch der Entscheidung hiertiber an die Bestimmungsamter dem Internationalen Buro ubermittelt worden 
sind. 



I I noch keine Entscheidung uber den Widerspruch vorliegt; der Anmelder wird benachrichtigt, sobald eine Entscheidung 
1 — 1 getroffen wurde. 

4. Weiteres Vorgehen: Der Anmelder wird auf folgendes aufmerksam gemacht: 

Kurz nach Ablaut von 18 Monaten seit dem Prioritatsdatum wird die internationate Anmeldung vom Internationalen Buro veroffenfc. 
licht. Winder Anmelder die Verdffentlichung verhindern Oder auf einen spateren Zeitpunkt verschieben, so muB gemaB Regel 90 .f 
bzw. 90r .3 vor AbschluB der technischen VorbereiLngen fur die internationale Veroffentlichung eine Erklarung uber die Zurucknah- 
me der internationalen Anmeldung Oder des Prioritatsanspruchs beim Internationalen Buro eingehen. 

Innerhalb von 19 Monaten seit dem Prioritatsdatum ist ein Antrag auf internationate vorlaufige Prufung einzureichen, wenn der 
Anmelder den Eintritt in die natronale Phase bis zu 30 Monaten seit dem Prioritatsdatum (in manchen Amtern sogarnoch langer) 
verschieben mochte. 

Innerhalb von 20 Monaten seit dem Prioritatsdatum muB der Anmelder die fur den Eintritt in die nationale Phase vorgeschriebenen 
Handlungen vor aflen Bestimmungsamtern vornehmen, die nicht innerhalb von 19 Monaten seit dem Prioritatsdatum in der 
Anmeldung Oder einer nachtraglichen Auswahlerklarung ausgewahtt wurden Oder nicht ausgewahlt werden konnten, da fur sie 
Kapitel II des Vertrages nicht verbindlich ist. 



I Name und Postanschrift der Internationalen Recherchenbehorde 


Bevollmachtigter Bediensteter 


J Europaisches Patentamt, P.B. 5818 Patentlaan 2 




NL-2280 HV Rijswijk 


CI iff ord Lekahena 


Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 




Fax: (+31-70) 340-3016 




i 





Formoiciv; PCT/ISA/220 (Januar 1994) 



ANMERKUNGEN ZU FORMBLATT PCT/ISA/220 



Diese Anmerkungen sollen grundlegende Hinweise zur Einreichung von Anderungen gemaft Artikol 19 geben. Dieaen Anmerkungen 
liegen die Erforderntsse des Vert rags Qber die Internationale Zusammenarbeit auf dem Gebiet des Pafentwesens (PCT), der AusfOhrungs- 
ordnung und der Verwattungsrichtlinien zu diesem Vertrag zugrunde. Bei Abweichungen zwrschen diesen Anmerkungen und 
obengenannten Texten sind letztere mafJgebend. Nahere Einzelherten sinddem PCT-Leitfaden fQr Anmelder, einer Verdffentlichuna der 
WIPO, zu entnehmen. 

Die in diesen Anmerkungen verwendeten Begritfe ' Artikel*, "Regel" und •Abschnrtf beztehen sich jeweils auf die Bestimmungen des 
PCT-Vertrags, der PCT-AusfQhrungsordnung hzw. der PCT-VerwaJtungarichtlinien. 

HINWEISE ZU ANDERUNGEN GEMASS ARTIKEL 19 



Nach Erhalt des intemationaien Recherchenberichts hat der Anmelder die Mdglichkeit, einmal die AnsprQohe der intemationaien 
Anmeldung zu andem Es ist jedoch zu betonen, daB, da alle Teile der intemationaien Anmeldung (Anspruche, Beschreibung und 
Zeichnungen) wahrend des intemationaien vorlaufigen PrOfungsverfahrena geandert warden konnen, normaJerweise keine Notwendigkeit 
besteht, Anderungen der Ansp ruche nach Artikel 1 9 einzureichen, auGer wenn der Anmelder z.B. zum Zwecke eines vorlaufigen 
Schutzes die Veroffentltchung dieser Anspruche wQnscht oder ein anderer Grund fQr eine Anderung der AnsprQche vor ihrer intemationa- 
ien Verdffentlichung vorliegt Weiterhin tst zu beachten, daft ein vorlaufiger Schutz nur in einigen Staaten erhaltlich ist. 



Wefche Telle der intemationaien Anmeldung konnen geandert werden? 

Im Rahmen von Artikel 19 konnen nur die Anspruche geandert werden. 

In der intemationaien Phase k6nnen die Anspruche auch nach Artikel 34 vor der mit der intemationaien vorlaufigen PrQfung beauf- 
tragten Be horde geandert (oder nochmals geandert) werden. Die Beschreibung und die Zeichnungen konnen nur nach Artikel 34 
vor der mit der intemationaien vorlaufigen PrQfung beauftragten Behorde geandert werden. 

Beim Eintritt in die nationale Phase konnen alle Teile der intemationaien Anmeldung nach Artikel 28 oder gegebenenfalls Artikel 
41 geandert werden. 



Bis wann sind Anderungen einzureichen? 

Innerhalb von zwei Monaten ab der Obermrttlung des intemationaien Recherchenberichts oder innerhalb von sechzehn Monaten ab 
dem Prioritatsdatum, je nach dem, welohe Frist spater abiauft Die Anderungen gotten jedoch aJs rechtzeitig eingereicht, wenn sie 
dem Intemationaien BQro nach Abiauf der maQgebenden Frist, aber noch vor Abschlu8 der technischen Vorbereitungen fQr die 
Internationale Veroffentltchung (Reg el 46.1 ) zugehen. 



Wo slnd die Anderungen nicht einzureichen? 

Die Anderungen konnen nur beim Intemationaien BOro, nicht aber beim Anmeldeamt oder der Intemationaien Recherchenbehorde 
eingereicht werden (Regel 46.2). 

Fails ein Antrag auf Internationale vorlaufige PrQfung eingereicht wurde/wird, siehe unten. 

In welcher Form konnen Anderungen erfolgen? 

Eine Anderung kann erfolgen durch Streichung eines oder mehrerer ganzer Anspruche, durch HinzufQgung eines oder mehrerer 
neuer Anspruche oder durch Anderung des Wortiauts eines oder mehrerer AnsprQohe in der eingereichten Fassung. 

FQr jedes Anspruchsblatt, das sich aufgrund einer oder mehrerer Anderungen von dem ursprunglich eingereichten Blatt 
unterscheidet, ist ein Ersatz blatt einzureichen. 

Alle AnsprQche, die auf einem Ersatzblatt erscheinen, sind mit arabischen Ziffem zu numerieren. Wird ein Anspruch gestrichen, so 
braucben, die anderen AnsprQche nicht neu numeriert zu werden. Im Fall einer Neunumerierung sind die AnsprQche fortlaufend zu 
numerieren (Verwaitungsriohtlinien, Abschnitt 205 b)). 

Die Anderungen sind In der Sprache abzufassen, In der dieintematlonale Anmeldung verdffentllcht wird. 



Weiche Untertagen slnd den Anderungen betzufQgen? 
Beglettschreiben (Abschnitt 205 b)): 

Die Anderungen sind mit einem Begleitschreiben einzureichen. 

Das Begleitschreiben wird nicht zusammen mit der intemationaien Anmeldung und den geanderten Anspruchen veroffentlicht Es 
ist ntcht zu verwechseln mit der "Erklarung nach Artikel 19(1)' (siehe unten, "Erklarung nach Artikel 19 (1)*). 

Das Begleitschreiben Ist nach Wahl des Anmeiders In englischer oder franzdsischer Sprache abzufassen. Bel engllschspra- 
chlgen Intemationaien Anmeidungen ist das Begleitschreiben aber ebenfalls In englischer, bei franzdslschsprachlgan Inter- 
natlonalen Anmeidungen In franzdsischer Sprache abzufassen. 



i 



AnmerKu/tgen zu Formblatt PCT/ISA/220 (Blatt 1) (Januar 1994) 



ANMERKUNGEN ZU FORMBLATT PCT/ISA/220 (F rts tzung) 



lm Begleitschreiben sind die Unterschiede zwischen don AnsprQchen in dor oingereichten Fassung und den geanderten AnsprQchen 
anzugeben. So tst insbesortdere zu jedem Anspruch in der internationalen Anmeldung anzugeben (gleichiautende Angaben zu 
verschiedenen AnsprQchen konnen zusammengefaBt werden), ob 

i) der Anspruch unverandert tat; 

ii) der Anspruch gestrichen word en tst; 

iii) der Anspruch neu ist; 

iv) der Anspruch einen Oder mehrere AnsprOche in der eingereichten Fassung ersetzt; 

v) der Anspruch auf die Teilung eines Anspruchs in der eingereichten Fassung zurOckzufOhren ist. 



Im folgenden sJnd Beiaplele angegeben, wie Anderungen im Begleltsshrelben zu erlautem stnd: 

1. [Wenn anstelle von ursprOnglich 48 AnsprQchen nach der Anderung einiger AnsprOche 51 AnsprQche existieren] 

D.e ^prQche 1 bis 29, 31 , 32, 34, 35, 37 bis 48 warden durch geanderte AnsprQche gletcher Numerierung ersetzt; AnsprQche 
30, 33 und 3S unverandert; neue AnsprQche 49 bis 51 hinzugefQgt/ W * ^ 

2. fWenn anstelfe von ursprOnglich 1 5 AnsprQchen nach der Anderung alter AnsprQche 1 1 AnsprOche extstierenl 

Geanderte AnsprQche 1 bis 1 1 treten an die Stelle der AnsprQche 1 bis 15." 



3. 



[Wenr i ursprOnglich 14 AnsprQche existierten und die Anderungen darin bestehen, daB einige AnsprQche gestricnen werden und 
neue AnsprOche hinzugefQgt werden): 
AnsprQche 1 bis 6 und 1 4 unverandert; AnsprQche 7 bis 13 gestrichen; neue AnsprQche 15, 16 und 1 7 hinzugefQgt "Oder* An- 
sprQche 7 bis 13 gestrichen; neue AnsprQche 15, 16 und 17 hinzugefQgt; aile Qbrigen AnsprOche unverandert.' 
4. fWenn verschiedene Arten von Anderungen durchgefGhrt werden]: 

-AnsprQche 1-10 unverandert; AnsprQche 1 1 bis 13, 18 und 19 gestrichen; AnsprQche 14, 15 und 16 durch geanderten An- 
spruch 14 ersetzt; Anspruch 17 in geanderte AnsprOche 15, 16 und 1 7 unterteilt; neue AnsprQche 20 und 21 hinzugefQgt * 

"Erklarung nach Artlkel 19(1)" (Regei 46.4) 

Den Anderungen kann eine Erklarung beigefQgt werden, mit der die Anderungen erlautert und ihre Auswirkungen auf die 
Beschreibung und die Zeichnungen dargefegt werden (die nicht nach Artikel 1 9 (1 ) geandert werden konnen). 

Die Erklarung wird zusammen mit der internationalen Anmeldung und den geanderten AnsprQchen veroffentficht 
Sle ist In der Sprache abzufassen. In der die internationalen Anmeldung verdffentllcht wlrd. 

Sie muB kurz gehaiten sein und darf , wenn in englisoher Sprache abgefaBt oder ins Englische Oberaetzt, nicht mehr ais 500 
Wfirter umfassen 

Die Erklarung ist nicht zu verwechseln mit dem Begleitschreiben, das auf die Unterschiede zwischen den AnsprQchen in der 
eingereichten Fassung und den geanderten AnsprQchen hinweist, und ersetzt letzteres nicht. Sie ist auf einem gesonderten Blatt 
einzuretchen und in der Uberschnft ais soiche zu kennzeichnen, vorzugsweise mit den Worten "ErWarung nach Artikel 19 (1)'. 

Die Erklarung darf keine herabsetzenden AuBerungen Qber den internationalen Recherchenbericht oder rfe Bedeutung von in dem 
Bencht angefQhrten Veroffentlichungen enthalten. Sie darf auf im internationalen Recherchenbericht angefOhrte Veroffentlichun- 
gen, die stcn auf einen bestimmten Anspruch beziehen, nur im Zusammenhang mit einer Anderung dieses Anspruchs Bezug 



Auswlrtcungen eines bererts gesteflten Ant rags auf IntemattonaJevoriauflge PrQfung 

Ist zum Zeitpunkt der Einreichung von Anderungen nach Artikel 19 bereits ein Antrag auf Internationale vortaufige PrQfung 
gestellt worden, so sollte der Anmelder in seinem Interesse gleichzeitig mit der Einreichung der Anderungen beim Intemation alen 
f^™e?62 2 a) " internationa,en voriaufigen PrQfung beauftragen Behorde einreichen (siehe 

Au^Bwirfcungen von Anderungen hlnsJehtllch der Obersetzung derinternatlonalen Anmeldung beim Elntrttt In die 
nation ale Phase 

Der Anmelder wird darauf hingewiesen, daB bei Eintritt in die nationals Phase moglicherweise anstatt oder zusatzlich zu der Ober- 
setzung der Anspruche i in der eingereichten Fassung eine Obersetzung der nach Artikel 19 geanderten AnsprQche an die 
bestimmten/ausgewahlten Amter zu Qbermitteln ist. 

Nahere Einzelheiten Qber die Erfordemisse jedes bestimmten/ausgewahlten Amts sind Band II des PCT-Leitfadens fQr Anmelder 
zu entnehmen. 
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Applicant's or agent's file reference 
GR97P 1301 P 


_ _ iTorrij __ A ,™ irfcTW See Notification of Transmittal of International 
FOR FURTHER ACTION Preliminary Examination Report (Form PCT/IPEA/4 1 6) 


International application No. 

PCT/DE98/00633 


International filing date {day/month/year) 
03 March 1998 (03.03.1998) 


Priority date {day/month/year) 

11 March 1997(11.03.1997) 


International Patent Classification (IPC) or national classification and IPC 

G05B 19/042 o -^O 


Applicant — * ■ — 

SIEMENS AKTLENGESELLSCHAFT ^ rT\ 



CP 



I. This international preliminary examination report has been prepared by this International Preliminary -^Examining 
Authority and is transmitted to the applicant according to Article 36. 



2. This REPORT consists of a total of 

□ 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



I 


I2SI 


II 


□ 


III 


□ 


IV 


□ 


V 


IS 


VI 


□ 


VII 


□ 


VIII 


1* 



Date of submission of the demand 

26 August 1998 (26.08.1998) 


Date of completion of this report 

21 December 1998 (21.12.1998) 


Name and mailing address of the IPEA/EP 
European Patent Office 
D-80298 Munich, Germany 

Facsimile No. 49-89-2399-4465 


Authorized officer 
Telephone No. 49-89-2399-0 



Form PCT/IPEA/409 (cover sheet) (January 1994) 



THIS PAGE BLANK (OSPTO) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/DE98/00633 



I. Basis of the report 



1 . This report has been drawn on the basis of (Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 1 4 are referred to in this report as " originally filed" and are not annexed to the report since they do not contain amendments.); 

| [ the international application as originally filed. 

the description, pages 1"*? , as originally filed, 

pages , filed with the demand, 

pages , filed with the letter of 

pages , filed with the letter of 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-11 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



the drawings, 



sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



1/9-9/9 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

I I the description, pages 

I I the claims, Nos. 



I I the drawings, sheets/fig 



I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
1 — 1 to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 


International application No. 

PCT/DE 98/00633 




V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 




1. Statement 

Novelty (N) Claims 1-11 YES 

Claims NO 

Inventive step (IS) Claims 1-11 YES 

Claims NO 

Industrial applicability (IA) Claims 1 - 1 1 yES 

Claims NO 




2. Citations and explanations 

1. The subject matter of the application is a method for 
computer-assisted error checking of sensors and/or 
actors in a technical system which exists in the form 
of a finite state description having the states of a 
technical system, using a computer, 

2 . The problem to be solved by the invention is to 
indicate a method for computer-assisted error 
checking of sensors and/or actors in technical 
systems which guarantees the correctness of error 
checking. 

3. Method steps a), b), c) and d) defined in Claim 1 
ensure that all the dangerous states as regards 
predeterminable conditions for the error under 
investigation, i.e., for the defective sensor and/or 
actor, are determined. 

This procedure cannot be derived from the prior art 
cited in the search report. 

The subject matter of Claim 1 is therefore novel and 
inventive. 

4. The same applies to Claims 2-7, which are dependent 
on Claim 1 . 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/DE 98/00633 



(Continuation of V.2) 



5. Claims 8 to 11 relate to the use of the method 
according to any one of the Claims 1 to 7 and 
therefore they, too, are novel and inventive . 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 
PCT/DE 98/00633 



VIIL Certain observations on the international application 

The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

1 Claim 1 still contains a few obscurities, which impair 
understanding of its intended scope of protection. 
For instance, it should be clear from method step b) 
that, in the claimed method, a first number of 
attainable states for the technical system is 
determined in the error-free case . 

Method step e) , in which result states which satisfy 
prede terminable conditions are determined from the 
differential number, is not quite clear either. For 
instance, it is explained in the abstract that the 
differential number of states is derived from the two 
descriptions whose states are checked as to whether 
they comply with predeterminable conditions . Howe ve r , 
this statement is not quite consistent with the 
definition in Claim 1. Furthermore, it is also 
explained in the description, page 3, last paragraph, 
that the method ensures that all the "dangerous 
states" as regards predeterminable conditions are 
detected for the error under investigation, i.e., for 
the defective sensor and/or actor. These facts 
therefore still require clarification or more precise 
definition . 

Finally, it is not clear from the wording whether 
method steps a) to e) concern. the computer or the 
method. 

2 Parts of the dependent claims are not worded in clear 
technical German. See the expressions "Model 
Checking" in Claim 4, "Binary Decision Diagram" in 
Claim 7 and "Rapid Prototyping" in Claim 8. 
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PATENT COOPERATION 'i rlEATY 



EO/US 
PCT/DE98/00633 



From the INTERNATIONAL BUREAU 



PCT 

NOTIFICATION OF ELECTION 
(PCT Rule 61.2) 


To: 

United States Patent and Trademark 

Office 

(Box PCT) 

Crystal Plaza 2 

Washington, DC 20231 

ETATS-UNIS D'AMERIQUE 

in its capacity as elected Office 


Date of mailing: 

17 September 1998 (17.09.98) 


International application No.: 

PCT/DE98/00633 


Applicant's or agent's file reference: 
GR 97 P 1301 P 


International filing date: 

03 March 1998 (03.03.98) 


Priority date: 

11 March 1997 (11.03.97) 


Applicant: 

LIGGESMEYER, Peter . . 



1 . The designated Office is hereby notified of its election made: 

[")(] in the demand filed with the International preliminary Examining Authority on: 

26 August 1998 (26.08.98) 



[ [ in a notice effecting later election filed with the International Bureau on: 



The election [~X] was 

| | was not 



made before the expiration of 1 9 months from the priority date or, where Rule 32 applies, within the time limit under 
Rule 32.2(b). 





Authorized officer: 




The International Bureau of WIPO 






34, chemin des Colombettes 






1211 Geneva 20, Switzerland 


J. Zahra 




Facsimile No.: (41-22) 740.14.35 


Telephone No.: (41-22)338.83.38 


993R77Q 
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VERTRAG UBER DIE INTERNATIONALE ZUSAMMENARBEIT AUF DEM 

GEBIET DES PATENTWESENS 



PCT 



f RECI 
, WIPO 



2 3 DEC 1998 



INTERNATIONALER VORLAUFIGER PRUFUNGSBERtCHT 

(Artikel 36 und Regel 70 PCT) 



S 1998 | 

PCT | 



Aktenzeichen des Anmelders octer Anwalts 
GR 97 P 1301 P 


»,r.Tr D cc wnorcucM siehe Mitteilung uber die Ubersendung des internationalen 
WEITERES VORGEHEN vor | aufi gen Prufungsberichts (Formblatt PCT/IPEA/416) 


Internationales Aktenzeichen 
PCT/DE98/00633 


Internationales Anmeldedatum (Tag/Monat/Jahr) 
03/03/1998 


Priority date (Tag/Monat/Jahr) 
11/03/1997 


Internationale Patentklassifikation (IPK) Oder nationale Klassifikation und IPK 
G05B1 9/042 


Anmelder 

SIEMENS AKTIENGESELLSCHAFT et aL 





1 . Dieser internationale vorlaulige PrQfungsbericht wurde von der mit der internationalen vorlaufigen Pruf ung beauftragten 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 ubermittelt. 

2. Dieser BERICHT umfaBt insgesamt 5 Blatter einschlieBlich dieses Deckblatts. 

□ AuBerdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich urn Blatter mrt Beschreibungen, Anspruchen und/oder 
Zeichnungen die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dteser Behorde 
vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Verwaltungsrichtiinien zum PCT). 

Diese Anlagen umfassen insgesamt Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 

I S Grundlage des Berichts 
Prioritat 

Keine Erstellung eines Gutachtens uber Neuheit, ertinderische Tatigkeit und gewerbliche Anwendbarkeit 
Mangelnde Einheitlichkert der Erfindung 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und 
der gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

Bestimmte angefuhrte Unterlagen 
Bestimmte Mangel der internationalen Anmeldung 
Bestimmte Bemerkungen zur internationalen Anmeldung 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 


is 



Datum der Einreichung des Antrags 
26/08/1998 


Datum der Fertigstellung dieses Berichts 

21 C. 98 


Name und Postanschrift der mit der internationalen vorlaufigen 
Prufung beauftragten Behorde 

EuropaJsches Patentamt 
J$N D-80298 Munchen 

Tel. (+49-89) 2399-0. Tx: 523656 epmu d 

Fax: (+49-89) 2399-4465 


BevollmSchtigter Bediensteter ^^5*£^ 
Becker, K ({ ^ /) 

Telefon (+49-89) 2399-2601 
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INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/DE98/00633 



I. Grundlag d s B richts 

1 Dieser Bericht wurde erstellt auf der Grundlage (Ersatzblatter, die dem Anmeldeamt auf eine Aufforderung nach 
Artikel 14 hin vorgelegt wurden, gelten im Rahmen dieses Berichts als "ursprunglich emgeretcht" and smd ihm 
nicht beigefugt, weil sie keine Anderungen enthatten.): 

Beschreibung, Seiten: 

1-17 ursprungliche Fassung 



Patentanspruche, Nr.: 

1 -1 1 ursprungliche Fassung 

Zeichnungen, Blatter: 

1/9-9/9 ursprungliche Fassung 



2. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 

□ Beschreibung, Seiten: 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

3 □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 
angegebenen Grunden nach Auffassung der Behorde Gber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)): 



4. Etwaige zusatzliche Bemerkungen: 



V Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erf inderischen Tatigkeit 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stiitzung dieser Feststellung 

1. Feststellung 



Neuheit (N) 


Ja: 


Anspruche 


1-11 


Nein: 


Anspruche 




Erfinderische Tatigkeit (ET) 


Ja: 


Anspruche 


1-11 




Nein: 


Anspruche 




Gewerbliche Anwendbarkeit (GA) 


Ja: 


Anspruche 


1-11 




Nein: 


Anspruche 
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INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/DE98/00633 



2. Unterlagen und Erklarungen 
siehe Beiblatt 

VIII. Bestimmte Bemerkungen zur internationalen Anmeldung 

Zur Klarhert der Patentanspruche, der Beschreibung und der Zeichnungen oder zu der Frage, ob die Anspruch 
in vollem Umtang durch die Beschreibung gestutzt werden, ist folgendes zu bemerken: 

siehe Beiblatt 
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INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/DE98/00633 
PRUFUNGSBERICHT - BEIBLATT _ 

Punkt V: 



1 . Gegenstand der Anmeldung ist ein Verfahren zur rechnergestutzten 
Fehleranalyse von Sensoren und/oder Aktoren in einem technischen System, 
welches in Form einer zustandsendlichen Beschreibung vorliegt, die Zustande 
eines technischen Systems aufweist, durch einen Rechner. 

2. Der Erfindung liegt das Problem zugrunde, ein Verfahren zur rechnergestutzten 
Fehleranalyse von Sensoren und/oder Aktoren in einem technischen System 
anzugeben, mit dem die Korrektheit von Fehleranalysen gewahrleistet wird. 

3. Durch die im Anspruch 1 angegebenen Verfahrensschritte a), b), c) und d) wird 
gewahrleistet, daG alle fur den jeweiligen untersuchten Fehlerfall, d.h. fur den 
fehlerhaften Sensor und/oder Aktor, hinsichtlich vorgebbarer Bedingungen 
gefahrliche Zustande ermittelt werden. 

Diese Vorgehensweise ist dem aus dem Recherchenbericht vorliegenden Stand 
der Technik nicht entnehmbar. 

Der Gegenstand des Anspruchs 1 ist daher neu und erfinderisch. 

4. Gleiches gilt fur die vom Anspruch 1 abhangigen Anspruche 2-7. 

5 Die Anspruche 8 bis 1 1 beziehen sich auf die Verwendung des Verfahrens nach 
einem der Anspruche 1 bis 7 und sind daher ebenfalls neu und erfinderisch. 



Punkt VIII : 

1 Anspruch 1 weist noch einige Unklarheiten auf, die das Verstandnis seines 
beabsichtigten Schutzumfanges erschweren konnten. 
So sollte bei dem Verfahrenschritt b) klar hervorgehen, daG bei dem 
beanspruchten Verfahren fur das technische System im fehlerfreien Fall eine 
erste Menge erreichbarer Zustande ermittelt wird. 
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INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/DE98/00633 
PRUFUNGSBERICHT - BEIBLATT 



Auch der Verfahrenschritt e), bei dem Ergebniszustande aus der Differenzmenge 
ermittelt werden, die vorgebbaren Bedingungen genugen, ist nicht vollig klar. 
So wird z.B. in der Zusammenfassung ausgefiihrt, daR eine Differenzmenge von 
Zustanden der beiden Beschreibungen gebildet wird, fur deren Zustande 
iiberpriift wird. ob diese Zustande vorgebbaren Bedinau naen aenuaen 
Diese Aussage entspricht aber nicht ganz der Definition im Anspruch 1. 
Andererseits wird in der Beschreibung auf Seite 3, letzter Absatz, wiederum 
ausgefuhrt, daB durch das Verfahren gewahrleistet wird, dal3 alle fur den 
jeweiligen untersuchten Fehlerfall, d.h. fur den fehlerhaften Sensor und/oder 
Aktor, hinsichtlich vorgebbarer Bedingungen "gefah Niche" Zustande ermittelt 
werden. Dieser Sachverhalt bedarf daher noch einer Klarstellung bzw. 
Prazisierung. 

SchlieBlich geht sprachlich nicht eindeutig hervor, ob sich die Verfahrensschritte 
a) bis e) auf den Rechner oder auf das Verfahren beziehen sollen. 

2 Die Unteranspruche sind teilweise nicht in klarem technischen Deutsch abgefaBt. 
Es wird auf die Ausdrucke "Model Checking" in Anspruch 4, "Binary Decision 
Diagram" in Anspruch 7 und "Rapid Prototyping" in Anspruch 8 verwiesen. 



Formblatt PCT/Beiblatt/409 (Blatt 2) (EPA-April 1997) 



I, 



■roe PAGE BIA«***™ 



GR 97 P 13 



09/367778 
514 Rec'd PCT/PTO 1 8 AUG 1999 



1 

Beschreibung 

Verfahren zur rechnergestutzten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System 

Fur komplexe technische Systeme oder Anlagen ist es von enor- 
mer Bedeutung, Aussagen uber die Zuverlassigkeit des jeweili- 
gen Systems bzw. der Anlage treffen zu konnen. 

Es ist bekannt, dali Aussagen iiber die Zuverlassigkeit eines 
beliebigen technischen Systems bzw. einer Anlage manuell, 
beispielsweise durch eine sog. Fehlerbaumanalyse (vgl. [1]), 
oder simulativ bzw. . analytisch auf Basis von speziell zu die- 
sem Zweck erstellten Modellen (vgl. [2]) erzeugt werden kon- 
nen. Zur einfacheren Darstellung wird im weiteren nur noch 
von technischen Systemen gesprochen. Technische Anlagen sind 
im Rahmen dieses Dokuments jedoch in dem Begriff des techni- 
schen Systems umfafit. Eine vollstandige manuelle Ermittlung 
der Auswirkungen eines technischen Fehlverhaltens von Senso- 
ren und/oder Aktoren, ist in einem komplexen technischen Sy- 
stem aufgrund der vernetzten Abhangigkeiten und der unter- 
schiedlichen Realisierungsf oirmen der Steuerung, des gesteuer- 
ten Systems und der Sensorik und/oder Aktorik praktisch nicht 
moglich. Die in [2] beschriebenen analytischen Techniken er- 
fordern die Erstellung eines speziellen Modells, fiir das im 
allgemeinen nicht garantiert werden kann, daB es das jeweils 
betrachtete System korrekt beschreibt. Dadurch wird nattirlich 
die Qualitat der Aussagen erheblich reduziert. Ferner ist ein 
erheblicher Nachteil der in [2] beschriebenen Ansatze, dali 
die Modellerstellung zusatzlichen Entwicklungsaufwand und 
Zeit erfordert. Dadurch wird eine kurzfristige Untersuchung 
alternativer Realisierungen eines technischen Systems, was 
auch als Rapid Prototyping bezeichnet wird, verhindert. 

Es ist bekannt, ein technisches System in einer zustandsend- 
lichen Beschreibung, z.B. als Automat, zu beschreiben. Eine 
zustandsendliche Beschreibung weist tiblicherweise Zustande 
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auf, in denen Aktionen durchgefuhrt werden, wenn sich das 
technische System in dem jeweiligen Zustand befindet. Ferner 
weist die zustandsendliche Beschreibung iiblicherweise Zu- 
standsubergange auf, die mogliche Wechsel des technischen Sy- 
stems zwischen Zustanden beschreiben. Auch bei Zustandsiiber- 
gangen kann das technische System Aktionen durchfuhren. In 
einem gesteuerten technischen System ist es in diesem Zusam- 
menhang bekannt, die zustandsendliche Beschreibung derart 
auszugestalten, dafi das Verhalten der Steuerung des techni- 
schen Systems und das Verhalten der gesteuerten Anlage als 
Zustandsautomat dargestellt wird. Auch ist bei diesen Ansat- 
zen nicht sichergestellt , dafi alle moglichen Fehlerauswirkun- 
gen ^uf das System korrekt ermittelt werden. 

Moglichkeiten zur textuellen Beschreibung eines Zustandsauto- 
maten, die mit einem Rechner verarbeitet wird, sind z.B. In- 
terlocking Specification Language (ISL) oder Control Specifi- 
cation Language (CSL) , die in [3] beschrieben sind. 

Es ist ferner bekannt, eine zustandsendliche Beschreibung fttr 
die Generierung von Steuerungen durch einen Rechner und far 
den rechnergestutzten Nachweis von Eigenschaf ten eines feh- 
lerfreien technischen Systems zu verwenden. 

Eine Moglichkeit zum rechnergestutzten Nachweis von Eigen- 
schaf ten eines fehlerfreien technischen Systems verwendet das 
Prinzip des sog. Model Checkings, das in [4] beschrieben ist. 

Ferner ist es bekannt zur zustandsendlichen Beschreibung ei- 
nes Systems ein sogenanntes Finite State Machine-Format (FSM- 
Format) zu verwenden, deren Grundlagen in [5] beschrieben 
sind. Binary Decision Diagrams (BDD) besitzen den Vorteii, in 
vielen Fallen auch sehr umfangreiche Zustandssysteme kompakt 
zu reprasentieren. 

Somit liegt der Erfindung das Problem zugrunde, ein Verfahren 
zur rechnergestutzten Fehleranalyse von Sensoren und/oder Ak- 
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toren. in einem technischen System anzugeben, mit dem die Kor- 
rektheit der Fehleranalyse gewahrleistet wird. 

Das Problem wird durch das Verfahren mit den Merkmalen des 
5 Patentanspruchs 1 gelost. 

Das Verfahren wird mit einem Rechner durchgefiihrt und umfalit 
folgende Schritte: 

a) fur einen Fehler eines Sensors und/oder eines Aktors des 
10 Systems wird eine zustandsendliche Beschreibung des techni- 
schen Systems fur den Fehlerfall ermittelt, 

b) fur das technische System wird eine erste Menge erreichba- 
rer Zustande ermittelt, 

c) fur das f ehlerbehaf tete technische System wird eine zweite 
15 Menge erreichbarer Zustande ermittelt, 

d) es wird eine Dif f erenzmenge aus der ersten Menge und der 
zweiten Menge gebildet, 

e) es werden Ergebniszustande aus der Dif f erenzmenge ermit- 
telt, die vorgebbaren Bedingungen geniigen. 

20 

Anschaulich kann die Erfindung dadurch beschrieben werden, 
dafi ein Model Checking sowohl fur das fehlerfreie technische 
System als auch ein mit einem Fehler eines Sensors und/oder 
Aktors behafteten System durchgefiihrt wird. Durch das Model 

25 Checking werden alle erreichbaren Zustande des fehlerfreien 
bzw. des f ehlerbehaf teten Systems ermittelt. Aus diesen Zu- 
standen wird eine Dif f erenzmenge von Zustanden gebildet. Fur 
die Dif f erenzmenge werden die Zustande der Dif f erenzmenge er- 
mittelt, die einer vorgebbaren Bedingung geniigen, z.B. einer 

30 Sicherheitsanf orderung an das System. Diese Zustande stellen 
fur den jeweils untersuchten Fehlerfall einen „gef ahrlichen" 
Zustand bzgl. der vorgebbaren Bedingung dar. 

Durch das Verfahren wird gewahrleistet, daB alle fiir den je- 
35 weils untersuchten Fehlerfall, d.h. fiir den fehlerhaften Sen- 
sor und/oder Aktor, hinsichtlich vorgebbarer Bedingungen 
„gefahrliche x> Zustande ermittelt werden. 
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Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus 
den abhangigen Anspruchen. 

5 Es ist vorteilhaft, das Verfahren fur alle moglichen Fehler 
von Sensoren und/oder Aktoren, die das technische System auf- 
weist, durchzuf uhren. Auf diese Weise wird fur das gesamte 
System gewahrleistet, dafl hinsichtlich vorgebbarer Bedingun- 
gen alle „gef ahrlichen" Zustande ermittelt werden. 

10 

Ferner ist es vorteilhaft, den Sensoren und/oder Aktoren Aus- 
f allwahrscheinlichkeiten zuzuordnen und die Fehleranalyse un- 
ter. Berucksichtigung der Ausf allwahrscheinlichkeiten durchzu- 
f uhren. Auf diese Weise wird es ohne grofieren Rechenaufwand 
15 bei der Durchfuhrung des Verfahrens mit einem Rechner mog- 
lich, fur die ermittelten Zustande anzugeben, mit welcher 
Wahrscheinlichkeit dieser Zustand tatsachlich erreicht wird, 
womit eine Risikoabschatzung ftir das jeweils analysierte Sy- 
stem sehr einfach und anschaulich moglich wird. 

20 

Weiterhin ist es zur weiteren Rechenzeiteinsparung bei der 
Durchfuhrung des Verfahrens mit einem Rechner vorteilhaft, 
die zustandsendliche Beschreibung durch einen endlichen Auto- 
maten in Form eines Binary Decision Diagrams (BDD) zu reali- 
25 sieren. 

Das Verfahren kann durch die oben Beschriebenen Eigenschaf ten 
sehr vorteilhaft in folgenden Gebieten Verwendung finden: 

- beim Rapid Prototyping des technischen Systems. 

30 - im Rahmen der Fehlerdiagnose des technischen Systems. 

- zur Generierung kritischer Priiffalle filr eine Inbetriebset- 
zung und einen Systemtest des technischen Systems. 

- zur praventiven Wartung des technischen Systems. 

35 In den Figuren ist ein AusfUhrungsbeispiel der Erfindung dar- 
gestellt, welches im weiteren naher erlautert wird. 
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Es zeigen 

Figur 1 ein skizzenhafte Darstellung des Verfahrens; 
Figur 2 eine Skizze einer zustandsendlichen Beschreibung 

einer Steuerung und des durch die Steuerung 
5 gesteuerten Prozesses eines technischen Systems, 

wobei die fehlerfreie Steuerung und der Prozeii 

jeweils als ein eigener Zustandsautomat beschrieben 

sind; 

Figur 3 eine Skizze der zustandsendlichen Beschreibung aus 
10 Figur 1 mit einem symbolisch dargestellten allge- 

meinen Sensor fehlermodell und Aktorf ehlermodell; 
Figur 4 eine Skizze der zustandsendlichen Beschreibung aus 
Figur 1 mit einem symbolisch dargestellten nicht- 
persistenten Fehler eines Sensors; 
15 Figur 5 eine Skizze der zustandsendlichen Beschreibung aus 
Figur 1 mit dem Fehler aus Figur 4, wobei als Er- 
satz 

des Fehlermodells die Steuerung modifiziert wurde; 
Figur 6 eine Skizze einer Draufsicht des Ausfuhrungsbei- 
20 spiels, einem Hubdrehtisch einer Fertigungszelle ; 

Figur 7 eine Skizze, in der die vorgesehene Bewegung des 

Hubdrehtischs aus Figur 6 dargestellt ist; 
Figur 8 eine Skizze des Zustandsraums des fehlerfreien 
, Hubdrehtischs; 

25 Figur 9 eine Skizze des Zustandsraums eines f ehlerbehaf te- 
ten Hubdrehtisch; 



Eine geeignete zustandsendliche Beschreibung stellt das Ver- 
halten der Steuerung und das Verhalten der gesteuerten Anlage 
30 als Zustandsautomat dar. Die Darstellung kann auf unter- 

schiedliche Weise, z.B. in textueller Form unter Verwendung 
von ISL oder CSL, erfolgen. 



In Figur 2 ist ein einfaches technisches System mit einer 
35 fehlerfreien Steuerung FS, Zustanden yl, y2, y3 und Zu- 

standstibergangen xl, x2 als Zustandsautomat dargestellt. Die 
Steuerung S beschreibt als Zustande Aktoren, Ein gesteuerter 
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Prozefi P enthalt die Beschreibung von Sensoren xl, x2, x3 als 
Zustande xl, x2, x3 und Zustandsiibergange yl, y2, y3 . 

Die Steuerung S des Systems reagiert auf Meliwerte xj (xl, x2, 
5 x3) von Sensoren X.Somit werden durch Sensordaten daher in 
der Steuerung S Zustandsiibergange ausgelost. Die Zustande 
sind durch Werte yi (yl, y2, y3) von Zustandsvariablen Y cha- 
rakterisiert, die Aktoren zugeordnet sind. Das Stellen von 
Aktoren Y lost wiederum Zustandsiibergange in der gesteuerten 
10 Anlage, d.h. in dem Prozefi P aus, was sich in einer Modifika- 
tion der Werte der Sensoren X aufiert. 

Die Zustandsautomaten der Steuerung S und des Prozesses P 
fiihren alternierend Zustandsiibergange durch. Die Ausgaben des 
15 einen Automaten sind die Eingaben des jeweils anderen Automa- 
ten. 

Die Schnittstelle zwischen Steuerung und gesteuerter Umgebung 
kann in einer entsprechenden Beschreibung automatisch erkannt 
20 werden. Ferner ist es moglich, wie ira weiterem detailliert 

beschrieben wird, einer derartigen Beschreibung den Wertevor- 
rat zu entnehmen, den die einzelnen Werte (Zustande bzw. Zu- 
standsiibergange) . annehmen konnen. 

25 In Figur 3 ist symbolisch eine Fehlermodellierung fur fehler- 
haf te Sensoren in einem Sensorf ehlermodell SF und fur fehler- 
hafte Aktoren in einem Aktorf ehlermodell AF dargestellt. 

Technisch sind also an der Schnittstelle zwischen Steuerung S 
30 und gesteuertem Prozefi P Sensoren X und Aktoren Y angeschlos- 
sen. Ein Fehlverhalten eines Sensors X fiihrt dazu, dafi an- 
stelle des korrekten Mefiwerts xj ein anderer, fehlerhafter 
Wert xj an die Steuerung S geliefert wird, d.h. der Steue- 
rung S zugefuhrt wird. Ein Fehlverhalten eines Aktors aufiert 
35 sich im Einstellen eines falschen Werts y^ anstelle des 

Werts yi . Welche Sensoren X und Aktoren Y vorhanden sind und 



GR 97 P 13(£ 



7 

welcher Wertevorrat hier zu beriicksichtigen ist, kann der zu- 
standsendlichen Beschreibung entnommen werden. 

Dies gestattet die automatisierte, systematische Analyse der 
5 Auswirkungen von Sensor- und Aktorfehlern auf das Verhalten 
eines gesteuerten Systems. Zwischen den gesteuerten Prozefi P 
und die Steuerung S werden Sensorf ehlermodelle SF bzw. Aktor- 
f ehlermodelle AF geschaltet, die den jeweiligen Fehler des 
Sensors x und/oder Aktors y beschreiben. In der Figur 3 sind 
10 beispielhaft Modelle fur intermittierende (nicht persistente) 
Einzelfehler der Sensorik und Aktorik angegeben. 

Ein nichtpersistenter Einzelfehler eines Sensors x wird be- 
schrieben durch folgende Vorschrift: 

15 

Xj = x_J j ^ n (fehlerfreie Werte) 



(fehlerhafter Wert). 

Ein nichtpersistenter Einzelfehler eines Aktors y wird be- 
schrieben durch folgende Vorschrift: 

20 



(fehlerfreie Werte) 



(fehlerhafter Wert). 



Figur 4 zeigt das allgemeine Sensorf ehlermodell SF aus Figur 
25 3 fur den Fall, dafi ein nichtpersistenter Einzelfehler bei 
einem ersten Sensorwert xl vorliegt derart, dafi der erste 
Sensorwert xl entweder den korrekten ersten Sensorwert xl 
oder aufgrund eines Sensorf ehlers einen zweiten Sensorwert x2 
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aufweist, der in diesem Fall ein fehlerhafter Wert ware. Der 
zweite Sensorwert x2 und ein dritter Sensorwert x3 werden 
korrekt gemessen. 

5 Eine wichtige Frage, die es zu beantworten gilt, ist nun, ob 
die Kombination aus Steuerung S und gesteuerten ProzeJi P auf- 
grund des Sensorf ehlers in kritische Zustande gelangen kann, 
die im fehlerfreien Fall sicher ausgeschlossen werden konn- 
ten. 

10 

Eine Moglichkeit, diesen Nachweis fur den fehlerfreien Fall 
zu erbringen, bietet das sogenannte Model Checking, welches 
in [4] beschrieben ist. Dieses Verfahren gestattet es, die 
Menge der erreichbaren Zustande zu ermitteln und zu untersu- 
15 chen, ob Zustande enthalten sind, die z.B. Sicherheitsbedin- 
gungen verletzen. 

Urn diese Technik zur Fehleranalyse von in dem System enthal- 
tenen Sensoren X und/oder Aktoren Y anwenden zu konnen, wer- 
20 den hier die Sensorf ehlermodelle SF bzw. Aktorf ehlermodelle 
AF durch eine geanderte Steuerungslogik beschrieben 
(vgl . Figur 5) . 

Die in Figur 5 dargestellte Kombination aus Steuerung S und 
25 gesteuertem Prozefi P verhalt sich identisch zu dem in Figur 4 
dargestellten Modell fur den Fehlerfall bei dem ersten Sen- 
sorwert xl. Es kann hier jedoch auf den Einschub eines expli- 
ziten Fehlermodells zwischen Steuerung S und gesteuertem Pro- 
zefi P verzichtet werden. Aufgrund des angenommenen intermit- 
30 tierenden Fehlers werden in der Steuerung mit xl indizierte 
Zustandsiibergange parallel zu den mit x2 markierten Zu- 
standsiibergangen hinzugefiigt . 

Damit wird der folgende Sachverhalt beschrieben: 
35 Der zweite Sensorwert x2 und der dritte Sensorwert x3 werden 
korrekt gemessen. Daher ist das Steuerungsverhalten fiir diese 
Werte unmodif iziert . Da ein intermittierender Fehler angenom- 
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men wird, kann auch der erste Sensorwert xl korrekt gemeldet 
werden, so dali diese Zustandstlbergange erhalten bleiben. 
WUrde eine persistente Vertauschung von dem ersten Sensorwert 
xl mit dem zweiten Sensorwert x2 angenommen, so miiiiten mit xl 
5 beschriftete Kanten geloscht werden. Alle Zustandstlbergange 
die mit x2 markiert sind, konnen nun auch beim Wert xl durch- 
laufen werden. Daher wird eine entsprechende Kante in der 
Steuerung S erganzt . Die Steuerung S reagiert auf den Wert 
x2, aber an der Stelle xl des Prozesses. 

10 

Diese Modifikation der Steuerungslogik zur Beschreibung von 
Fehlern kann formal fur alle betrachtbaren Fehler automatisch 
durch den Rechner durchgefiihrt werden. 

15 Fur die entstehenden Modelle konnen die Fragen nach der Er^ 
reichbarkeit von kritischen Zustanden (z.B. Sicherheit, Ver- 
klemmungen) ebenfalls durch Anwendung des Model Checkings be- 
antwortet werden. Es erfolgt also eine automatische Ermitt- 
lung der im f ehlerbehaf teten System erreichbaren Zustande 

20 vorzugsweise unter Verwendung des Model Checkings. 

Anschlieflend wird jeweils eine Dif f erenzmenge der im jeweili- 
gen Fehlerfall erreichbaren Zustande und der im fehlerfreien 
Fall erreichbaren Zustande ermittelt. 

25 

Aus der Dif f erenzmenge werden jene Zustande ermittelt, die 
mindestens einer vom Benutzer vorgebbaren Bedingung (z.B. 
Verletzung einer Sicherheitsanf orderung) geniigen bzw. diese 
verletzen, je nach Anwendung. 

30 

In Figur 1 ist diese Vorgehensweise noch einmal in einem 
Blockschaltbild symbolisch dargestellt. Ftlr die Steuerung FS 
und den gesteuerten Prozeli P wird mindestens ein Sensorfeh- 
lermodell SF und/oder mindestens ein Aktorf ehlermodell AF er- 
35 stellt, unter deren Berlicksichtigung eine formale Analyse der 
zustandsendlichen Beschreibung filr das f ehlerbehaf tete System 
vorzugsweise durch Model Checking erfolgt. 



GR 97 P 13C^P 



10 

Fur das Ergebnis des Vergleichs mit dem fehlerfreien System 
und der Ermittlung „gef ahrlicher" Zustande werden die Ursa- 
che-Wirkungs-Zusammenhange zwischen Sensor- bzw. Aktorfehlern 
5 und dem moglichen Eintritt der betrachteten Wirkung ermittelt 
und vorzugsweise in einem Ursache-Wirkungs-Graph dargestellt* 

In Figur 6 ist ein technisches System in Form eines Hubdreh- 
tischs HD einer Fertigungszelle FZ dargestellt, mit dem das 
10 Verfahren noch detaillierter dargestellt werden soil. 

Die Fertigungszelle FZ weist ein zufuhrendes Forderband FB, 
andessen Ende ein Hubdrehtisch Werkstucke WS aufnimmt und 
einem Roboter R zufiihrt. Der Roboter R legt das Werkstiick WS 
15 in eine Presse PR und gibt es nach dem Formen auf ein wegfiih- 
rendes Band WB. Die Fertigungszelle FZ enthalt entsprechende 
Sensoren X und Aktoren Y. 

Der Hubdrehtisch HD kann sich mit Hilfe zweier Antriebe 
20 (nicht dargestellt) in vertikaler (vmov) und horizontaler 
(hmov) Richtung bewegen. Jeder Antrieb kann in negative 
(minus) oder positive (plus) Richtung angesteuert werden oder 
stillstehen (stop) . 

25 Der Hubdrehtisch HD verfugt liber Sensoren X zur vertikalen 
(vpos) und horizontalen (hpos) Positionserf assung, die die 
Positionen xO (uhten) , xl (mitte) und x2 (oben) unterscheiden 
konnen. Zusatzlich erfaJit ein weiterer Sensor (part__on_table) 
(nicht dargestellt) das Vorhandensein eines Werkstucks WS auf 

3 0 dem Hubdrehtisch HD. 

Die Ausgangsposition AP des Hubdrehtischs HD ist am unteren, 
linken Anschlag (x0,x0) ohne Werkstiick WS (vgl. Figur 7). 
Falls ein Werkstiick WS vom zufiihrenden Forderband FB auf den 
35 Hubdrehtisch HD fallt, so ist die Zielposition ZP des Hub- 
drehtischs HD oben rechts (x2, x2) • 
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Der Hubdrehtisch HD darf niemals eine andere horizontale Po- 
sition als xO (linker Anschlag) in Kombination mit der verti- 
kalen Position xO (unten) einnehmen, da er sonst mit dem zu- 
fuhrenden Forderband FB kollidieren wtirde (verbotener Bereich 
5 VB) . 

Im weiteren ist eine Beschreibung des Zustandsautomaten der 
Steuerung FS des Hubdrehtischs HD in CSL angegeben: 

10 CSLxtClasses table 
Types 

bool = [nein, ja]; 

posType = [xO, xl, x2]; 

movType = [stop, plus, minus] ; 



15 



Class pcd 



StateVariables 

input vpos : posType default xO; 

2 0 input hpos : posType default xO; 

input part_on_table : bool default nein; 
output vmov: movType default stop; 
output hmov: movType default stop; 

25 Transitions 

start_up := (part_on_table = ja A vpos = xO) 

==> (** vmov = plus) ; 

rotate := (part_on_table = ja A vpos = xl A hpos < x2) 

==> (** hmov = plus); 

30 stophigh := (part_on_table = ja /\ vpos = x2) 

==> (** vmov = stop) ; 

stop45 := (part_on_table = ja A hpos = x2) 

=-> (** hmov = stop) ; 
rotate_back := (part_on_table = nein A vpos = x2 /\ 
35 A hpos = x2) ==> (** hmov = minus); 

start_down := (part_on_table = nein A hpos = xO A 

/\ vpos = x2) ==> (** hmov = stop /\ 




I-- 

i. 
* 
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/\ ** vmov = minus); 
stoplow := (part_on_table = nein A vpos = xO) 
==> (** vmov = stop) ; 

End /* Class pcd_controll*/ 
End table 
CSLInstances i 

table : pcd; 

End i 

Die oben angegebene Beschreibung in CSL legt die Steuerungs- 
logik des Hubdrehtischs HD fest. Der Kopf der CSL- 
Beschreibung vereinbart Datentypen (Wertebereiche) der Zu- 
standsvariablen. Die anschliefiende Deklaration der Zustands- 
variablen nutzt diese Typvereinbarungen und legt zusatzlich 
Anfangswerte fest. Anhand der Vereinbarung von Zustandsvaria- 
blen als Input oder Output kann festgestellt werden, ob es 
sich urn eine Zustandsvariable handelt, die den Prozefizustand 
darstellt oder ob sie Zustande der Steuerung FS kodiert. In- 
putvariablen der Steuerung FS kodieren ProzeJJzustande . Out- 
putvariablen der Steuerung FS kodieren Steuerungszustande . 
Die Zeile „input vpos: posType default xO" deklariert eine 
Zustandsvariable mit Namen „vpos x> , die die Werte xO, xl und 
x2 (die Werte des Typs posType) annehmen kann und deren An- 
fangswert xO ist. 

Die Transitionen (Transitions) dienen zur Beschreibung der 
Steuerungslogik. Transitionen werden ausgelost durch Werte- 
kombinationen der Inputvariablen der Steuerung FS, die Pro- 
30 zelizustande darstellen - also die Position des Hubdrehtischs 
HD in der vertikalen (vpos) und der horizontalen (hpos) Bewe- 
gungsrichtung und das Vorhandensein eines Werkstiicks WS auf 
dem Hubdrehtisch HD (part_on_table ) . Die Werte der Outputva- 
riablen vmov und hmov werden durch die Transitionen, die die 
35 Steuerungslogik implementieren, modifiziert. Sie beschreiben 
die Zustande der Steuerung ♦ Ihre Werte werden allein durch 
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Zustandsiibergange der Steuerung, also durch die der Steuerung 
eingepragte Logik modifiziert. 

Diese Inf ormationen konnen aus der CSL-Beschreibung automa- 
5 tisch entnommen werden. Es kann zwischen Eingaben der Steue- 
rung (Inputs, Sensordaten) und Ausgaben der Steuerung 
(Outputs: Aktorkommandos) unterschieden werden. Aufierdem sind 
die jeweils moglichen Werte erkennbar (Typdeklarationen) . 

10 Die Inf ormationen bleiben im wesent lichen auch nach der Dber- 
setzung der CSL-Beschreibung in das sogenannte Finite State 
Machine- Format (FSM- Format) erhalten. Dieses FSM- Format re- 
prasentiert die zustandsendliche Beschreibung in Form soge- 
nannter Binary Decision Diagrams (BDD) , die den Vorteil be- 

15 sitzen, in vielen Fallen auch sehr umfangreiche Zustandssy- 
steme kompakt zu reprasentieren. Eine Ubersicht uber Binary 
Decision Diagrams (BDD) ist in [5] beschrieben. 

Ein Prozefimodell zur Beschreibung der Reaktionen des gesteu- 
20 erten Prozesses ist erganzend zur in CSL beschriebenen Steue- 
rungslogik erf orderlich, um z.B. Aussagen iiber die Menge der 
erreichbaren Zustande zu ermoglichen. Dies kann im Rahmen des 
Model Checkings mit Hilfe sogenannter Assumptions, erfolgen. 
Da das Model Checking auch im Rahmen der formalen Verifikati- 
25 on der fehlerfreien Steuerung ublicherweise verwendet wird, 
sind diese Assumptions Ublicherweise bereits vorhanden und 
konnen im Rahmen dieser Analyse erneut verwendet werden, 

Mit den Assumptions wird beschrieben, wie sich die Positionen 
30 des Hubdrehtischs HD und das Vorhandensein eines Werkstiicks 
WS in Abhangigkeit der Bewegungsrichtung und der aktuellen 
Position verandern konnen. Die unten dargestellte Assumption 
( 1 table .vrnov' = stop /\ 'table. vpos 1 = xO) /\ 

x ( f table .vpos ' = xO) stellt dar, dali, falls die vertikale Be- 
35 wegung gestoppt ist und die aktuelle vertikale Position unten 
(xO) ist, auch im nachsten Zustand die vertikale Position xO 
ist. Dieser Assumption liegt der Sachverhalt zugrunde, :; dafi 
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sich Positionen nicht andern, falls keine Bewegung stattfin- 
det . 

Im weiteren sind mogliche Assumptions, d.h. Bedingungen fiir 
5 die oben beschriebene Steuerung FS beschrieben: 
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\/ 'table. hpos ? = x2)) A (( 1 table . vpos 1 = xO A 

A 1 table. hpos 1 = xO A 1 table .vmov' = stop A 

A 'table. hmov 1 = stop A 

A 1 table . part_on_table T = nein A 

A x ( ' table . part_on_table ' = ja) ) \/ 

\/ ( 'table. vpos 1 = x2 /\ 'table. hpos' = x2 /\ 

/\ 'table. vmov' = stop /\ 'table. hmov' = stop A 

A f table .part_on__table ' = ja A 

/\ x (' table . par t__on_t able ' = nein)) \/ 

\/ ( 1 table .part_on_table ? = ja A 

A x( 'table. part_on__table 1 = ja) ) \/ 

\/ (' table .part_on_table ' = nein A 

A x (' table . par t_on_t able 1 = nein)))). 

In Figur 8 ist ein Zustandsraum ZR des Hubdrehtischs HD und 
die Bewegung des fehlerfreien Hubdrehtischs HD im Zustands- 
raum ZR dargestellt, wie er sich nach Durchfiihrung des Model 
Checkings auf die zustandsendliche Beschreibung der fehler- 
freien Steuerung FS mit den angegebenen Assumptions ergibt. 

In den Zeilen ist jeweils ein Wertepaar fur das Tripel der 
Variablen (vpos, hpos, part_on_table) dargestellt. In den 
Spalten ist jeweils ein Wertepaar fur das Tupel der Variablen 
(vmov, hmov) mit den jeweils oben definierten Wertemengen 
dargestellt . 

Schraffiert Kreise in dem Zustandsraum ZR markieren hinsicht- 
lich der Sicherheitsbedingung „verbotene" bzw. „gef ahrliche" 
Zustande. Fett markierte Kreise in dem Zustandsraum ZR mar- 
kieren Zustande, die der Hubdrehtisch HD gemafi der oben ange- 
gebenen Beschreibung annehmen kann. Diese wurden durch das 
Model Checking ermittelt. Durch Pfeile sind Zustandsubergange 
in dem Zustandsraum ZR angedeutet. 

In Figur 9 ist der Zustandsraum ZR des Hubdrehtischs HD und 
die Bewegung des Hubdrehtischs HD im Zustandsraum ZR darge- 
stellt, falls der Sensor 'part_on_table ' f ehlerhaf terweise 




t 
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ein Werkstuck WS meldet. In Figur 9 werden die gleichen Be- 
zeichnungen verwendet wie in Figur 8. Es ist deutlich zu er- 
kennen, daiJ fur diesen Fehlerfall Zustande auftreten konnen, 
die im fehlerfreien System nicht erreichbar sind. Diese Zu- 
5 stande sind in Figur 9 mit VZ bezeichnet. 

Den einzelnen Sensoren x und/oder Aktoren y werden Ausfall- 
wahrscheinlichkeiten zugeordnet, die jeweils die Wahrschein- 
lichkeit fur das Auftreten eines Fehlers bei dem Sensor x 

10 bzw. Aktor y beschreiben. Durch Verkniipfung von Verbundwahr- 
scheinlichkeiten flir das Auftreten von Fehlern verschiedener 
Sensoren und/oder Aktoren und fiir das Auftreten verschiedener 
Zustande kann durch diese Vorgehensweise eine sehr einfach 
Risikoabschatzung fur das technische System erfolgen. Details 

15 zur Berechnung abhangiger Wahrscheinlichkeiten in Fehlerbaa- 
men sind in [1] zu finden. 

Somit erfolgt die Fehleranalyse unter Berucksichtigung der 
Ausf allwahrscheinlichkeiten. 

20 

Das Verfahren wird vorzugsweise fiir alle moglichen Fehler der 
vorhandenen Sensoren und/oder Aktoren durchgef uhrt . 
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Im Rahmen dieses Dokuments wurden folgende Verof f entlichungen 
zitiert : 

[1] DIN 25424, Teil 1: Fehlerbaumanalyse : Methode und 

Bildzeichen; Teil 2: Handrechenverf ahren zur Auswertung 
eines Fehlerbaums 

[2] J. Dekleer und B. C. Williams, Diagnosing Multiple 
Faults, , Elsevier Science Publishers, Artificial 
Intelligence, Vol. 32, 1987, S. 97 -130 

[3] K. Nokel, K. Winkelmann, Controller Synthesis and Veri- 
fication: A Case Study, in: C. Leverentz, T. Lindner, 
Formal Development of Reactive Systems, Lecture Notes in 
Computer Science (Nr. 891), Springer 1995, S. 55 - 74 

[4] J, Burch et al, Symbolic Model Checking for Sequential 
Circuit Verification, IEEE Trans, on Computer-Aided 
Design of Integrated Circuits and Systems, Vol. 13, 
Nr. 4, S. 401 - 424, April 1994 

[5] R. Bryant, Symbolic Boolean Manipulation with Ordered 

Binary-Decision Diagrams, ACM Computing Survey, Vol. 24, 
Nr. 3, S. 293 - 318, September 1992 
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Patentanspriiche 

1. Verfahren zur rechnergestiit zten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System, welches in Form 

5 einer zustandsendlichen Beschreibung vorliegt, die Zustande 
des technischen Systems aufweist, durch einen Rechner, 
a) bei dem fur einen Fehler eines Sensors und/oder eines Ak- 
tors eine zustandsendliche Beschreibung des technischen Sy- 
stems fur den Fehlerfall ermittelt wird, 
10 b) bei dem fur das technische System eine erste Menge er- 
reichbarer Zustande ermittelt wird, 

c) bei dem fur das f ehlerbehaf tete technische System eine 
zweite Menge erreichbarer Zustande ermittelt wird/ 

d) bei dem eine Dif f erenzmenge aus der ersten Menge und der 
15 zweiten Menge gebildet wird, 

e) bei dem Ergebniszustande aus der Dif f erenzmenge ermittelt 
werden, die vorgebbaren Bedingungen geniigen. 

2. Verfahren nach Anspruch 1, 

20 bei dem die Verf ahrensschritte a) bis f) fUr alle moglichen 
Fehler von Sensoren und/oder Aktoren, die das technische Sy- 
stem aufweist, durchgefiihrt werden, 

3. Verfahren nach Anspruch 1 oder 2, 

25 - bei dem den Sensoren und/oder Aktoren Ausf allwahrschein- 
lichkeiten zugeordnet werden, und 

- bei dem die Fehleranalyse unter Berucksichtigung der Aus- 
f allwahrscheinlichkeiten erf olgt . 

30 4. Verfahren nach einem der Anspriiche 1 bis 3, 

bei dem die Verf ahrensschritte b) und c) nach dem Verfahren 
des Model Checking erf olgt. 

5. Verfahren nach einem der Anspriiche 1 bis 4, 
35 bei dem in dem Verfahren eine zustandsendliche Beschreibung 

eines von dem technischen System durchgef Uhrten Prozesses be- 
rucksichtigt wird. 
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6. Verfahren nach einem der Anspriiche 1 bis 5, 

bei dem die zustandsendliche Beschreibung durch einen endli- 
chen Automaten realisiert wird. 

7. Verfahren nach Anspruch 6, 

bei dem die zustandsendliche Beschreibung durch einen endli- 
chen Automaten in Form eines Binary Decision Diagrams (BDD) 
realisiert wird. 



8. Verwendung des Verfahrens nach einem der Anspriiche 1 bis 7 
beim Rapid Prototyping des technischen Systems. 

9. Verwendung des Verfahrens nach einem der Anspriiche 1 bis 7 
im Rahmen der Fehlerdiagnose des technischen Systems. 

10. Verwendung des Verfahrens nach einem der Anspriiche 1 bis 
7 zur Generierung kritischer Priiffalle fur eine Inbetriebset- 
zung und einen Systemtest des technischen Systems. 

11. Verwendung des Verfahrens nach einem der Anspriiche 1 bis 
7 zur praventiven Wartung des technischen Systems. 
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Zusammenf as sung 

Verfahren zur rechnergestutzten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System 

5 

Es wird ein Verfahren vorgeschlagen, bei dem fur einen Fehler 
eines Sensors und/oder eines Aktors eine zustandsendliche Be- 
schreibung des technischen Systems ftir den Fehlerfall und ei- 
ne zustandsendliche Beschreibung des technischen Systems fur 

10 den fehlerfreien Fall ermittelt wird- Fur beide Beschreibun- 
gen werden jeweils die erreichbaren Zustande vorzugsweise 
mittels Model Checking ermittelt, Es wird eine Dif f erenzmenge 
von Zustanden der beiden Beschreibungen gebildet, fur deren 
Zustande uberprtift wird, ob diese Zustande vorgebbaren Bedin- 

15 gungen geniigen (z.B. Sicherheitsbedingungen) . 
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